Criar consultas de investigação personalizadas no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Procure ameaças de segurança nas origens de dados da sua organização com consultas de investigação personalizadas. Microsoft Sentinel fornece consultas de investigação incorporadas para o ajudar a encontrar problemas nos dados que tem na sua rede. No entanto, pode criar as suas próprias consultas personalizadas. Para obter mais informações sobre consultas de investigação, veja Investigação de ameaças no Microsoft Sentinel.

Criar uma nova consulta

No Microsoft Sentinel, crie uma consulta de investigação personalizada a partir do separadorConsultas de Investigação>.

  1. Para Microsoft Sentinel no portal do Defender, selecione Microsoft Sentinel> At managementHunting (Investigação de gestão>). Para Microsoft Sentinel no portal do Azure, em Gestão de ameaças, selecione Investigação.

  2. Selecione o separador Consultas .

  3. Na barra de comandos, selecione Nova consulta.

  4. Preencha todos os campos em branco.

    1. Crie mapeamentos de entidades ao selecionar tipos de entidade, identificadores e colunas.

      Captura de ecrã para mapear tipos de entidade em consultas de investigação.

    2. Mapeie a MITRE ATT&técnicas CK para as suas consultas de investigação ao selecionar a tática, técnica e sub-técnica (se aplicável).

      Nova consulta

  5. Quando terminar de definir a consulta, selecione Criar.

Clonar uma consulta existente

Clone uma consulta personalizada ou incorporada e edite-a conforme necessário.

  1. No separadorConsultas de Investigação>, selecione a consulta de investigação que pretende clonar.

  2. Selecione as reticências (...) na linha da consulta que pretende modificar e selecione Clonar.

  3. Edite a consulta e outros campos conforme adequado.

  4. Selecione Criar.

Editar uma consulta personalizada existente

Só é possível editar consultas a partir de uma origem de conteúdo personalizada. Outras origens de conteúdo têm de ser editadas nessa origem.

  1. No separadorConsultas de Investigação>, selecione a consulta de investigação que pretende alterar.

  2. Selecione as reticências (...) na linha da consulta que pretende alterar e selecione Editar.

  3. Atualize o campo Consulta com a consulta atualizada. Também pode alterar as técnicas e o mapeamento de entidades.

  4. Quando terminar, selecione Guardar.

Conteúdo relacionado

  • Last updated on